KillDisk擦除软件现新变种,拉美金融机构惨遭攻击

趋势科技报道称,KillDisk磁盘擦除恶意软件出现新变种(被称为TROJ_KILLDISK.IUB),且已对拉丁美洲的金融行业企业造成攻击。

正如之前的版本,KillDisk会蓄意删除文件,但是为了不让受害者发现他们感染的其实是磁盘擦除恶意软件(以往许多网络间谍活动中使用的恶意软件),KillDisk会附有勒索赎金信,从而试图让受害者误认为他们感染的是勒索软件。

KillDisk:从磁盘擦除器到假冒勒索软件

在信息安全行业,KillDisk是最臭名昭着的恶意软件家族之一。该恶意软件主要由俄罗斯网络间谍组织Telebots开发和使用。

该间谍组织还创造了:

攻击美国工业设备的Sandworm 恶意软件

攻击乌克兰电网的BlackEnergy恶意软件

以及2017年6月袭击许多公司的NotPetya勒索软件

KillDisk开发之初就是一款磁盘擦除恶意软件,部署在感染后期。这样一来,攻击者可以通过擦除磁盘和破坏取证证据来隐藏它们的踪迹。这也就是KillDisk在2015年12月和2016年12月针对乌克兰电网攻击事件中的主要用途,当时间谍组织Telebots在攻击中联合使用了KillDisk和BlackEnergy恶意软件。

到2016年底,KillDisk进行了“整容”,在针对乌克兰银行的攻击中将自己伪装成勒索软件。就在那不久,安全人员也发现一个Linux变种,用于攻击相同的目标。

新型KillDisk攻击

周一,趋势科技报告了新的KillDisk攻击。该公司发现了一个KillDisk新变种,不过和以往的攻击比,变化很小。

新版本KillDisk仍旧包含勒索信和擦盘功能。唯一改变的是攻击对象—— KillDisk部署在拉美金融公司的网络上,远离过去三年它所攻击的乌克兰机构。

目前,趋势科技并没说明背后的攻击者究竟是TeleBots间谍组织,还是为了欺骗取证调查者而模仿该攻击行为的其他罪犯。

同之前版本相比,有些许变化

但就像以前的攻击一样,研究人员也指出,KillDisk并不是入侵者部署的主要恶意软件。

研究人员表示:“这个KillDisk变种看起来像是被另一个进程/攻击者故意部署的。它的文件路径被硬编码到恶意软件中(c:\ windows \ dimens.exe),这意味着它与安装程序紧密结合,或者是更大的软件包的一部分。”

研究人员现在还没说明主要payload是什么。尽管如此,他们对KillDisk这个特殊变种的运行模式进行了详细的研究。

据研究人员介绍,KillDisk一旦部署到计算机上,便会将自己加载到内存中,将它的文件从磁盘上删除,并给自己重新命名。

然后它将用0x00字节覆盖每个存储设备上主引导记录(MBR)的前20个扇区。

之后,它将在每个固定和移动存储驱动器上,使用相同的0x00字节重写每个文件的前2800个字节。 唯一保留完整的文件是在以下目录(都是对操作系统至关重要的)中找到的文件和文件夹:

WINNT

Users

Windows

Program Files

Program Files (x86)

ProgramData

Recovery (case-sensitive check)

$Recycle.Bin

System Volume Information

old

PerfLogs

然后,KillDisk会启动一个15分钟的计时器,然后终止以下进程。 因为这些都是操作系统的关键进程,所以导致用户的机器要么蓝屏死机,要么在不提供用户选择的情况下强行重启。

客户端/服务器运行时子系统(csrss.exe)

Windows启动应用程序(wininit.exe)

Windows 登录应用程序(winlogon.exe)

本地安全权限子系统服务(lsass.exe)

一旦系统重新启动,用户除非修复损坏的MBR记录,否则不能使用他的电脑。当系统管理员进行调查时,最常见的情况是:他会发现勒索信,因而认为系统遭到勒索软件攻击;或者他将对之前的备份进行安装,甚至摧毁KillDisk感染的最后线索。

新型 KillDisk SHA256 hash:

正是由于企业急于恢复计算机,并在企业网络运行,因而磁盘擦除恶意软件(如KillDisk和Shamoo)增加了勒索软件组件。

趋势科技仍在调查这一新型KillDisk变种,同时要求各公司采取“深度防御”的方法,确保网关、终端、网络到服务器的安全范围。

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180116G0QO8T00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券